Windows, Linux, macOS : de nombreux OS victimes d’une faille, des correctifs disponibles
RTFM !
Le 11 mai 2018 à 14h56
7 min
Logiciel
Logiciel
Deux chercheurs ont jeté un pavé dans la mare : de très nombreux systèmes d'exploitation sont victimes d'une faille de sécurité pouvant entrainer une escalade des privilèges à cause d'une mauvaise gestion de certaines instructions. Les éditeurs ont été prévenus en amont et des correctifs sont déjà disponibles.
Les failles de sécurité sont nombreuses, avec des vecteurs d'attaques bien différents selon les cas. Parmi les plus célèbres, nous pouvons citer Heartbleed, qui permettait de lire des données stockées dans la mémoire vive en raison d'une brèche dans OpenSSL, ainsi que Meltdown et Spectre qui touchaient des processeurs AMD, ARM et (surtout) Intel.
Parfois, l'utilisateur final est à blâmer. C'est notamment le cas lorsqu'il s'agit de phishing et qu'il clique sur n'importe quel lien ou pièce jointe dans un email, réutilise le même mot de passe à tout va ou, quand il manque d'idées, se contente de séquences simplistes, comme « 123456 » ou « password ».
De nombreux OS sont touchés : des distributions Linux, macOS, Windows...
Le cas qui nous intéresse aujourd'hui est différent : il n'y a pas de faille matérielle à proprement parler, mais plutôt une mauvaise compréhension du fonctionnement de certaines commandes assembleur par les développeurs. Une histoire qui, d'une certaine manière, fait penser aux dizaines de milliers de bases MongoDB laissées ouvertes aux quatre vents.
Les chercheurs en sécurité Nick Peterson (Everdox Tech/Riot Games) et Nemanja Mulasmajic (triplefault.io) ont publié un document détaillant cette faille, pour le moment baptisé « POP SS/MOV SS Vulnerability » et estampillée CVE-2018-8897. Ils remercient Andy Lutomirski (Linux) et Andrew Cooper (Xen) pour leur contribution, ayant permis de conclure que cette faille touchait de (très) nombreux OS, aussi bien sur les processeurs AMD qu'Intel, car elle concerne l'architecture x86-64.
La cause ? « Une documentation peu claire et peut-être incomplète »...
Avant d'entrer dans le vif du sujet, une parenthèse sur le nom de cette brèche, « POP SS/MOV SS Vulnerability » : pas très « vendeur » et bien loin des habitudes actuelles consistant à proposer un petit nom facile à retenir, agrémenté d'un logo et d'un site dédié.
Nick Peterson explique – non sans se moquer des autres brèches du genre – qu'il voulait « concevoir un logo, un site web, une bande-annonce et une bande-son pour cette vulnérabilité, mais le budget nécessaire n'était tout simplement pas là ».
Quoi qu'il en soit, le problème se situe dans la manière dont les instructions POP SS ou MOV SS
We wanted to design a logo, a website, a trailer and a soundtrack for this vulnerability, but they budget just wasn't there.
— nick (@nickeverdox) 9 mai 2018
Lord of the rings
Le CERT de l'université Carnegie Mellon y va également de sa petite explication technique sur cette faille :
« Si l'instruction suivant MOV SS ou POP SS est de type SYSCALL, SYSENTER, INT 3, etc. qui transfère le contrôle au système d'exploitation au niveau de privilège actuel (Current Privilege Level ou CPL) < 3, une exception de débogage est délivrée après la fin du transfert au CPL < 3. De telles exceptions différées par MOV SS et POP SS peuvent avoir un comportement inattendu.
Ainsi, dans certains cas, une exception de débogage pointant vers des données dans un anneau inférieur (pour la plupart des systèmes d'exploitation, au niveau 0 du noyau) est accessible aux composants du système d'exploitation dans l'anneau 3. Cela peut permettre à un attaquant d'utiliser les API du système d'exploitation pour accéder aux informations sensibles de la mémoire ou contrôler les fonctions de bas niveau du système d'exploitation. »
Debian, résume la faille de cette manière : des chercheurs ont « découvert que les exceptions #DB qui étaient différées par MOV SS ou POP SS n'étaient pas correctement gérées, permettant à un utilisateur non privilégié de planter le noyau et de provoquer un déni de service ».
Microsoft confirme et donne des détails sur les conséquences
La faille dépend donc des choix opérés par les développeurs des systèmes d'exploitation, « mais la plupart, sinon la totalité » utilisent la même technique, affirment les chercheurs. Avec un effet boule de neige.
Les conséquences sont variables : escalade des privilèges sur des systèmes comme Windows, macOS, Xen et FreeBSD explique le NIST (National Institute of Standards and Technology), accès à des informations sensibles dans la mémoire vive et à des fonctions de bas niveau ajoute le CERT, plantage du système d'exploitation, etc.
Microsoft confirme d'ailleurs dans son bulletin de sécurité, ajoutant quelques détails : « Pour exploiter cette vulnérabilité, un attaquant devrait d'abord se connecter au système d'exploitation. Il pourrait alors exécuter une application spécialement conçue pour en prendre le contrôle [...] et exécuter du code arbitraire en mode noyau », c'est-à-dire sans restriction.
Parmi les conséquences : installer des programmes, afficher, modifier ou supprimer des données, créer de nouveaux comptes avec les pleins pouvoirs, etc.
Des correctifs déjà disponibles, parfois depuis plusieurs jours...
La liste des systèmes concernés est longue : Apple, FreeBSD, le noyau Linux, Microsoft (Windows 7, 8, 10, Server 2008, 2012, 2016...), Red Hat, Debian, SUSE, Synology, Ubuntu et Xen pour ne citer qu'eux. Selon le CERT, NetBSD et OpenBSD ne sont pas concernés. De son côté, VMWare affirme que ses hyperviseurs ne sont pas touchés, mais que certains produits (vCloud Usage Meter, vCenter Server...) peuvent l'être.
La bonne nouvelle, c'est qu'un simple correctif logiciel peut être appliqué pour boucher cette faille, sans aucune incidence sur les performances. D'ailleurs, la plupart des sociétés ont déjà déployé des correctifs pour tout ou partie de leurs logiciels, avant que la faille ne soit rendue publique.
C'est notamment le cas d'Apple, Microsoft, Debian, Linux, Red Hat, Ubuntu et Xen. Pour la marque à la Pomme, le patch est disponible avec la mise à jour 2018 - 001 du 24 avril. Les notes de version de l'époque ne faisaient pas état de ce correctif, mais le descriptif a été mis à jour par le fabricant au moment de la mise en ligne du document par les chercheurs.
... d'autres arrivent, comme chez Synology
De son côté, Synology est en train de travailler sur un correctif pour les versions 5.2, 6.0 et 6.1 de son Disk Station Manager. Bien évidemment, le Virtual DSM est touché et une mise à jour est également prévue. Dans les deux cas, aucune date n'a été donnée pour l'instant.
Dans le petit monde des NAS, Asustor et QNAP ne semblent pas encore avoir réagi ou donné de date pour une éventuelle mise à jour de leurs interfaces d'administration ADM et QTS. D'autres fabricants et développeurs devraient aussi se mettre à jour au cours des prochains jours.
Comme toujours en pareille situation, il est évidemment recommandé de vérifier si un patch est disponible pour son système d'exploitation, et l'installer le cas échéant.
Windows, Linux, macOS : de nombreux OS victimes d’une faille, des correctifs disponibles
-
De nombreux OS sont touchés : des distributions Linux, macOS, Windows...
-
La cause ? « Une documentation peu claire et peut-être incomplète »...
-
Lord of the rings
-
Microsoft confirme et donne des détails sur les conséquences
-
Des correctifs déjà disponibles, parfois depuis plusieurs jours...
-
... d'autres arrivent, comme chez Synology
Commentaires (28)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/05/2018 à 15h04
En même temps la fonction SS à toujours posé problème dans l’histoire récente ^^
Le 11/05/2018 à 15h07
Ah bah ça l’air d’être exécutable à distance tient.
" />
Bon bah y’a plus qu’à.
\( nano /etc/apt/sources.list
debhttp://ftp.us.debian.org/debian/ stretch main contrib non-free
deb-srchttp://ftp.us.debian.org/debian/ stretch main contrib non-free
debhttp://security.debian.org/debian-security stretch/updates main contrib non-free
deb-srchttp://security.debian.org/debian-security stretch/updates main contrib non-free
\) apt-get update && apt-get upgrade -y
Le 11/05/2018 à 15h08
Ya deux fois linux dans le titre :/
Le 11/05/2018 à 15h09
Le 11/05/2018 à 15h12
y a “Linux ” et “Linux” !!!!
Tout est dans le detail ;)
Le 11/05/2018 à 15h14
Quelqu’un sait quel kernel tux est OK ? J’ai eu des mises à jours récentes (la dernière il y a à peine cinq minutes) et je suis peut-être OK.
Le 11/05/2018 à 15h31
Le 11/05/2018 à 15h37
C’est corrigé, merci du signalement ;)
Le 11/05/2018 à 16h13
C’est amusant, le correctif pour Linux avait était écrit le “Thu Jul 23 15:37:48 2015”, mais n’a été mergé que le “Sun Mar 25 07:36:02 2018”
Le 11/05/2018 à 16h20
ça a toujours été difficile d’être SS alors faire de la POP SS pffffiou et puis musicalement ça doit être chelou. 
" />
Le 11/05/2018 à 16h22
Le 11/05/2018 à 16h44
Le 11/05/2018 à 17h01
Windows, Linux, macOS : de nombreux OS victimes d’une faille, des correctifs disponibles
Plutôt qu’un titre de news, je propose d’écrire cette phrase sur une bannière permanente en haut du site.
Le 11/05/2018 à 17h09
Et désolé mais sur mobile je suis toujours à la recherche du bouton de signalement, je le perds à chaque fois -_-
J’en viens à me demander s’il existe pour de vrai :)
Le 12/05/2018 à 05h15
Le début de l’article compare cette faille à celle des bases MongoDb en accès libre. Mais la faille MongoDB résultait d’une erreur de l’utilisateur. Alors que cette faille (pop mov SS) existe même si l’utilisateur n’a pas fait d’erreur, car l’erreur se trouve dans l’OS utilisé.
Le reste de l’article me paraît très pédagogique, merci.
Le 12/05/2018 à 05h38
Le point commun est que la faille liée à l’implémentation (par le développeur, par l’administrateur), pas à la conception. Dans les deux cas, une documentation plus explicite évitait probablement le problème.
Le 12/05/2018 à 06h38
Est ce que cette faille touche les consoles de jeux ?
Le 12/05/2018 à 07h39
PS4 et XBox One potentiellement, elles utilisent l’architecture x86-64. Les autres consoles non.
Le 12/05/2018 à 11h13
Le 12/05/2018 à 14h36
C’est donc une faille de sécurité qui est présente depuis le 80386, soit plus de trente ans ?!?!?!
Le 12/05/2018 à 15h14
Le pire péché de l’ homme est de ne pas vouloir savoir.
La fainéantise intellectuelle est une des pires faiblesses de l’ homme quand on la mesure à ses conséquences.
Ce que beaucoup de personnes illustrent par “Cela ne sert à rien de se prendre la tête” ou “Ça me saoule” “Ça me casse les c…..” quand de toute évidence il existe toujours un travail plus important et nécessaire afin d’ obtenir la substantifique moelle de la vérité parce que la vérité n’ est jamais aussi simple que nous aimerions le penser ou que parfois elle se situe tout simplement “ailleurs”.
Utiliser une fonction sans connaitre l’ état d’ esprit qui a conduit à sa création c’ est se fourvoyer dans son utilisation.
Comme on dit toujours :
La lettre n’ est R I E N sans l’ Esprit.
Le 13/05/2018 à 15h04
Non, le 80386 est 32 bits pour le processeur et 36 bits pour l’adressage.
Les premiers X86_64 chez Intel étaient les derniers pentium4.
Le 13/05/2018 à 15h44
Le 13/05/2018 à 16h06
Le 13/05/2018 à 16h15
Le 13/05/2018 à 19h00
Normalement, les gens ne devraient pas avoir besoin de NXI pour faire les mises à jour de sécurité.
Le 13/05/2018 à 21h41
À côté du budget, la grammaire aussi était manquante
Le 13/05/2018 à 22h20